國內(nèi)高防虛擬主機能防御:1�����、帶寬消耗型攻擊,如常見的TCP洪水攻擊�����、UDP及ICMP洪流攻擊�����;2�����、系統(tǒng)資源消耗型攻擊�����,包括惡意誤用TCP/IP協(xié)議通信和畸形報文攻擊�����;3�����、對應(yīng)用層的攻擊,如HTTP洪水�����、CC攻擊�����、DNS等應(yīng)用層攻擊�����。
具體內(nèi)容如下:
1�����、帶寬消耗攻擊
DDoS帶寬消耗攻擊主要為直接洪流攻擊�����,它利用了攻擊方的資源優(yōu)勢�����,當(dāng)大量代理發(fā)出的攻擊流量匯聚于目標(biāo)對象時�����,足以耗盡其網(wǎng)絡(luò)接入帶寬�����。常見的帶寬消耗攻擊類型包括:TCP洪水攻擊(SYN Flood)�����,UDP以及ICMP洪流攻擊�����,三者可以單獨使用�����,也可同時使用�����。
據(jù)研究統(tǒng)計�����,大多數(shù)DDoS攻擊通過TCP洪流攻擊實現(xiàn)。TCP洪水攻擊是一種利用TCP協(xié)議缺陷�����,使用假冒IP或IP號段發(fā)送海量偽造的連接請求�����,從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式�����。由于TCP協(xié)議是許多重要應(yīng)用層服務(wù)的基礎(chǔ)�����,所以極大可能對服務(wù)器的性能造成致命影響�����。
UDP洪水攻擊是一種日漸猖厥的流量型DoS攻擊�����,常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器�����、流媒體視頻服務(wù)器�����,100kbps的UDP洪水攻擊經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱�����,造成整個網(wǎng)段的癱瘓�����。因此�����,有時連接到受害系統(tǒng)周邊網(wǎng)絡(luò)的主機也會遭遇網(wǎng)絡(luò)連接問題�����。
ICMP洪流攻擊就是通過代理向受害主機發(fā)送大量ICMP_ECHO REQEST (“ping”)報文�����,這些報文涌向目標(biāo)并使其回應(yīng)報文,兩者和起來的流量將使受害者主機網(wǎng)絡(luò)帶寬飽和�����,造成拒絕服務(wù)�����,ping/smurf攻擊軟件都是典型基于ICMP協(xié)議的攻擊軟件�����,當(dāng)出現(xiàn)ICMP洪流攻擊的時候�����,只要禁止ping就行了�����。
2�����、系統(tǒng)資源消耗攻擊
DDoS系統(tǒng)資源消耗攻擊包括惡意誤用TCP/IP協(xié)議通信(TCP SYN攻擊與TCP PSH+ACK攻擊)和畸形報文攻擊兩種方式�����,兩者都能起到占用系統(tǒng)資源的效果�����。
SYN攻擊是利用TCP協(xié)議缺陷�����,通過發(fā)送大量半連接請求以耗費CPU和內(nèi)存資源�����,除影響主機外�����,還可能危害路由器�����、防火墻等網(wǎng)絡(luò)系統(tǒng)�����。在DDoS方式下,其攻擊強度得到了成百上千倍的增加�����。SYN攻擊不能被完全阻止�����,只能通過加固TCP/IP協(xié)議棧�����、部署防火墻/路由器等過濾網(wǎng)關(guān)加以防御�����,以盡量減輕危害�����。
TCP PUSH+ACK 攻擊與TCP SYN攻擊一樣�����,目的在于耗盡受害系統(tǒng)的資源�����。當(dāng)代理向受害主機發(fā)送PSH和ACK標(biāo)志設(shè)為1的TCP報文時�����,將使接收系統(tǒng)清除所有TCP緩沖數(shù)據(jù)(不管緩沖區(qū)是滿的還是非滿)�����,并回應(yīng)一個確認(rèn)消息�����。如果這一過程被大量重復(fù)�����,系統(tǒng)將無法處理大量的流入報文�����,造成服務(wù)崩潰�����。
畸形報文攻擊,指攻擊者指使代理向受害主機發(fā)送有缺陷的IP報文�����,使得目標(biāo)系統(tǒng)在處理這樣的IP包時會出現(xiàn)崩潰�����,給目標(biāo)系統(tǒng)帶來損失�����。主要的畸形報文攻擊如Ping of Death(發(fā)送超大尺寸ICMP報文)Teardrop(利用IP包碎片攻擊)�����、畸形TCP報文�����、 IP-fragment攻擊等�����。
3�����、對應(yīng)用層的攻擊
應(yīng)用層攻擊并非使用流量或會話來淹沒網(wǎng)絡(luò)�����,它針對特定的應(yīng)用/服務(wù)緩慢地耗盡應(yīng)用層上的資源�����。應(yīng)用層攻擊在低流量速率下十分有效�����,從協(xié)議角度看�����,攻擊中涉及的流量可能是合法的�����。這使得應(yīng)用層攻擊比其他類型的DDoS攻擊更加難以檢測�����。HTTP洪水、CC攻擊�����、DNS攻擊等都是應(yīng)用層攻擊的實例�����。
HTTP 洪水是利用看似合法的HTTP GET或POST 請求攻擊網(wǎng)頁服務(wù)器或應(yīng)用�����,通常使用僵尸網(wǎng)絡(luò)進行�����。僵尸網(wǎng)絡(luò)是通過將大量主機感染bot程序病毒所形成的一對多的控制網(wǎng)絡(luò)�����,黑客可以控制這些僵尸網(wǎng)絡(luò)集中發(fā)動對目標(biāo)主機的拒絕服務(wù)攻擊�����,這使得HTTP洪水攻擊很難被檢測和攔截�����。
CC攻擊是基于頁面攻擊的�����,模擬許多用戶不間斷的對服務(wù)器進行訪問�����,并且攻擊對象往往是服務(wù)器上開銷比較大的動態(tài)頁面�����,涉及到數(shù)據(jù)庫訪問操作�����。由于使用代理作為攻擊發(fā)起點�����,具有很強的隱蔽性�����,系統(tǒng)很難區(qū)分是正常的用戶操作還是惡意流量,進而造成數(shù)據(jù)庫及其連接池負(fù)載過高�����,無法響應(yīng)正常請求�����。
DNS攻擊主要有兩種形式�����,一是通過發(fā)起大量的DNS請求�����,導(dǎo)致DNS服務(wù)器無法響應(yīng)正常用戶的請求(Dns Query Flood)�����;二是通過發(fā)起大量偽造的DNS回應(yīng)包�����,導(dǎo)致DNS服務(wù)器帶寬擁塞(Dns Reply Flood);兩種方式都將導(dǎo)致正常用戶不能解析DNS�����,從而不能獲取服務(wù)�����。
